Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 HỆ THỐNG PHÁT HIỆN XÂM NHẬP CHO MẠNG KHÔNG DÂY DỰA TRÊN PHẦN MỀM NGUỒN MỞ Ngô Bá Hùng1 Ngô Trung Hiếu1 Khoa Công nghệ Thông tin & Truyền thông, Trường Đại học Cần Thơ Thông tin chung: Ngày nhận: 23/04/2014 Ngày chấp nhận: 28/08/2014 Title: Using open source software to build Intrusion Detection System for wireless network Từ khóa: Xâm nhập, IDS, mạng không dây, phát xâm nhập, công mạng không dây Keywords: Intrusion, IDS, wireless network, intrusion detection system, wireless attack ABSTRACT WLAN (Wireless Local Area Network) have become ubiquitous in today's world With a capability providing “over-the-air” connections, WLAN may be the best choice for accessing Internet anytime and anywhere without heavy investment in infrastructure In recent times, insecure wireless networks have been exploited to break into companies, banks, and government organizations The frequency of these attacks has intensified Therefore, it is very necessary and important to deploy a Wireless Intrusion Detection System (WIDS) Unfortunately, WIDS is usually very expensive, hard to customize and expand This paper aims at proposing an effective alternative solution to deploy WIDS, which completely bases on open source software and customer-level network devices with low cost This WIDS solution offers many edge features which are only found in expensive devices These fearures include inside/outside wireless attack detecting, SMS alerting, and database supporting TÓM TẮT Ngày nay, mạng cục không dây (WLAN - Wireless Local Area Network) trở nên vô phổ biến khắp nơi giới Với đặc tính cung cấp kết nối “qua không khí”, mạng WLAN xem lựa chọn tốt cho nhu cầu phổ biến Internet lúc nơi mà không cần đầu tư nhiều vào sở hạ tầng nước phát triển Trong thời gian gần đây, điểm yếu bảo mật mạng WLAN liên tục khai thác nhằm mục đích đột nhập ngân hàng, công ty tổ chức khác… Tần suất diễn công có chiều hướng gia tăng Do đó, bên cạnh việc triển khai mạng WLAN, việc triển khai hệ thống phát xâm nhập mạng không dây (WIDS) vô cần thiết Tuy nhiên, hệ thống WIDS thường đắt tiền, khó khăn việc tùy biến mở rộng theo mục đích riêng nhà triển khai Bài báo nhằm đề xuất giải pháp hiệu để triển khai hệ thống WIDS với giá thành thấp, dựa sản phẩm mã nguồn mở thiết bị truy cập không dây thông thường, có khả phát cảnh báo sớm hình thức công mạng không dây từ bên từ bên mạng WLAN 58 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 Hệ thống IDS báo giám sát phát hình thức công từ bên lẫn bên mạng WLAN, cảnh báo tức cho nhà quản trị thông qua tin nhắn SMS (có thể triển khai thêm SNMP, SMTP…), lưu trữ lại thông tin liên quan đến công sở liệu tập trung, có khả hoạt động hệ thống nhật ký trung tâm cho mạng cục không dây (WLAN) cung cấp khả quản trị hệ thống thông qua ứng dụng Web GIỚI THIỆU Nhu cầu truy cập Internet qua mạng không dây không ngừng gia tăng, đặc biệt nước phát triển, ví dụ Việt Nam có chương trình phủ sóng mạng không dây cho thành phố trực thuộc trung ương thành phố du lịch Hội An, Đà Nẵng, Quảng Ninh… Mạng không dây mang đến lợi ích to lớn cho người dùng thông qua việc cung cấp khả kết nối nơi lúc cách dễ dàng Bên cạnh thuận lợi, mạng không dây chứa đựng nhiều rủi ro tiềm ẩn bảo mật cho người sử dụng, ví dụ hacker hoàn toàn nghe (sniffing) thông tin quan trọng người dùng mạng không dây không sử dụng mã hóa, người dùng dễ bị lừa để truy cập vào điểm truy cập giả mạo để lấy cấp thông tin… Đồng thời, nhà cung cấp dịch vụ mạng không dây hay doanh nghiệp phải hứng chịu rủi ro công từ chối dịch vụ (De-authentication) để làm tê liệt hoàn toàn khả cung cấp kết nối điểm truy cập, công gây nhiễu sóng [10]… Bài báo gồm phần Kế tiếp phần giới thiệu, phần trình nghiên cứu có liên quan đến hệ thống IDS đề nghị Phần thứ ba giới thiệu hướng tiếp cận hệ thống Chi tiết hệ thống trình bày phần thứ tư Phần thứ năm trình bày vào thảo luận kết cài đặt, trường hợp thử nghiệm kết Cuối phần kết luận hướng phát triển hệ thống đề xuất CÁC NGHIÊN CỨU LIÊN QUAN Các hình thức công mạng cục không dây WLAN chia làm loại: Tấn công từ bên mạng không dây công từ bên mạng không dây Tấn công từ bên mạng không dây hình thức công tầng tầng mô hình OSI [7] Phổ biến kiểu công từ chối dịch vụ (De-authentication Attack) công nặc danh giả dạng Access Point (Rogue Access Point Attack) [16] Deauthentication Attack với ý tưởng hacker gửi khung De-authentication (thuộc kiểu khung Management mạng không dây) nhằm ép client Access Point thực lại trình chứng thực, kết hacker nghe trộm thông số trình chứng thực client Access Point để tiến hành dò lấy khóa WEP, WPA, hay làm tê liệt hoàn toàn khả kết nối client Access Point cách gửi quảng bá liên tục khung De-authentication Rogue Access Point Attack hình thức công với ý tưởng hacker tạo Access Point giả mạo, trùng SSID với Access Point thật, lừa người dùng kết nối vào, từ triển khai hình thức công nâng cao khác Men-In-TheMiddle, SSL Stripping Attack [8]… Hiện nay, hãng cung cấp thiết bị mạng tiếng Cisco, AirDefense, AirTight… cung cấp giải pháp phát xâm nhập mạng không dây (WIDS- Wireless Instrusion Dectection System) riêng họ Ví dụ Cisco có kiến trúc Cisco Unified Wireless Network (CUWN) hỗ trợ tính IDS để phát hình thức công từ bên mạng WLAN tầng tầng phát hình thức công từ bên mạng WLAN (Inside Attack - tức xuất phát từ client mạng WLAN) Tuy nhiên, giải pháp khó để triển khai nước phát triển hay doanh nghiệp vừa nhỏ nhiều yếu tố, giá thành triển khai cao nhân tố hàng đầu Ví dụ giá để triển khai hệ thống CUWN Cisco khoảng 8000 USD, bao gồm Cisco Wireless Controler hỗ trợ cho 12 Access Point với giá 4000 USD [14][18], Access Point giá 1000 USD [6] cho hệ thống hỗ trợ Access Point, tất thiết bị phải đặt hàng nhập từ nước phát triển, cần có nhân viên quản trị đào tạo để cài đặt, cấu hình, quản lý [4]… Xuất phát từ lý trên, báo đề xuất giải pháp khác giúp tiết kiệm mặt kinh tế đảm bảo tính hiệu cao để xây dựng hệ thống IDS cho mạng không dây dựa kiến trúc phân tán, sử dụng sản phẩm phần mềm nguồn mở thiết bị truy cập mạng không dây thông thường, phổ biến thị trường với giá thành rẻ Các hình thức công từ bên mạng WLAN hình thức công từ tầng mô hình OSI trở lên Các công xuất phát từ client tham gia vào mạng WLAN tương tự hình thức công thông thường mạng có dây 59 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 máy tính cao nhiều so với Access Point, tốn kinh phí trang bị phần cứng máy tính… Các giải pháp WIDS từ hãng bảo mật tiếng Cisco, AirDefense, AirTight… nói chung có khả giám sát phát công từ bên lẫn bên nói trên, có khả lưu trữ thông tin liên quan đến công vào sở liệu, gửi cảnh báo qua SNMP, SMTP… Tuy nhiên, giải pháp khó triển khai nước phát triển lý trình bày phần giới thiệu, đồng thời, hầu hết thiếu chức gửi cảnh báo tức cho nhà quản trị thông qua tin nhắn SMS có kiện xấu xảy Jason Murray có viết giải pháp IDS cho không dây với ý tưởng cài đặt Kismet tảng OpenWRT lên Access Point, nhờ vậy, Access Point phát công từ bên mạng WLAN [9] Tuy nhiên, giải pháp chưa thể phát công từ bên mạng WLAN, không hỗ trợ lưu trữ thông tin công vào sở liệu, dễ dẫn đến tải việc xử lý gói tin thực Access Point, không tự động gửi cảnh báo Các dự án IDS miễn phí cho mạng không dây khởi động phát triển widz hay Snort Wireless trở thành dự án “chết” ngừng cập nhật từ nhiều năm trước Hiện nay, giải pháp IDS miễn phí cho mạng không dây trì phát triển Kismet [12] Kismet phát triển Mike Kershaw giấy phép GPL hoạt động WIDS, nhiên, Kismet phát công từ bên mạng WLAN dựa vào việc phân tích liệu tầng MAC Layer (tầng thuộc tầng Data-Link) không mã hóa Để làm việc này, Kismet tạo giao diện mạng ảo (virtual interface) hoạt động chế độ monitor dựa giao diện mạng không dây Access Point, sau tiến hành bắt gói tin giao diện mạng ảo để phân tích Đối với khung liệu mã hóa Kismet phân tích để phát dấu hiệu công Ngoài ra, Snort [11] biết đến giải pháp phát phòng chống thâm nhập (IDS/IPS – Intrusion Detection and Prevention Systems) nguồn mở mạnh mẽ sử dụng rộng rãi toàn giới để phát công từ tầng trở lên Tuy nhiên, liệu truyền mạng không dây bảo vệ khóa phiến, khiến cho Snort “đọc-hiểu” liệu, từ không phát công nội mạng không dây HƯỚNG TIẾP CẬN MỚI Hình cho thấy phương thức triển khai hệ thống IDS truyền thống cho mạng không dây Trong đó, Switch cấu hình với kỹ thuật Port Mirroring nhằm chuyển tiếp bảo tất gói tin vào/ra Access Point A hay B IDS Server để tiến hành phân tích liệu gói tin nhằm phát hành vi xâm nhập công mạng Trong kiểu triển khai này, hệ thống IDS kiểm soát cách hiệu toàn lưu thông vào hệ thống mạng không dây, xác định mối nguy hiểm tiềm ẩn hoạt động xâm nhập, virus, worm, hay hành động nguy hiểm khác… Tuy nhiên, hệ thống IDS hoàn toàn kiểm soát hoạt động mạng WLAN riêng lẻ, tức lưu thông nội WLAN Access Point A hay B Kết hacker thâm nhập vào hệ thống mạng WLAN, hacker hoàn toàn công client WLAN (inside attack) mà không bị hệ thống IDS truyền thống phát [1] Quadrant Information Security đưa giải pháp IDS miễn phí cho mạng không dây với ý tưởng cài đặt máy tính trở thành Access Point, sau triển khai Snort Kismet lên máy tính, từ đó, phát công bên lẫn bên [2] Tuy nhiên, giải pháp mang tính chất “thử nghiệm”, triển khai thực tế nhiều lý kích thước máy tính to nhiều so với Access Point, đặt máy tính vị trí treo tường hay trời, điện tiêu thụ Hình 1: Giải pháp IDS truyền thống cho mạng không dây 60 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 bên theo kiểu De-authentication Attack hay Rogue Access Point Attack Để giám sát phát công bên mạng không dây, người ta thường sử dụng hay nhiều wireless sensor, thiết bị có nhiệm vụ bắt tất khung liệu phạm vi thu sóng nó, truyền tất khung IDS Server để phân tích xử lý Hình cho thấy sơ đồ kiến trúc hệ thống IDS đề nghị Trong giải pháp này, Access Point cài đặt để thu thập loại liệu thông qua sensor ảo (virtual sensor): Outside Attack sensor thu thập Frame không mã hóa phục vụ cho phát công Inside Attack sensor thu thập khung liệu WLAN, giải mã chúng để truyền IDS Server, nơi tiến hành phân tích khung nhận từ loại sensor, phát có tượng công bên hay bên WIDS server gửi thông tin đến Alert system Hệ thống Alert system có hành động đáp trả lại kiện này, ví dụ gửi tin nhắn SMS đến số điện thoại cài đặt sẵn Để vượt qua trở ngại này, hướng tiếp cận đề xuất sử dụng Access Point wireless sensor có khả nhận giải mã gói tin truyền tải thiết bị nối kết mạng WLAN mà Access Point quản lý gửi chúng cho IDS server để phân tích phát công xảy bên mạng WLAN Đồng thời Access Point cài đặt để thu thập tất khung liệu bên nhằm phát công từ Hình 2: Kiến trúc hệ thống IDS hoạt động, tương tác thành phần với Với tiêu chí cung cấp giải pháp WIDS hiệu giá thành thấp chọn giải pháp mã nguồn mở access point không đắt tiền để cài đặt thiết kế giải pháp Chi tiết việc thiết kế cài đặt hệ thống IDS đề nghị trình bày phần 4.1 Giới thiệu chung thành phần Dựa đánh giá từ cộng đồng mã nguồn mở, chọn phần mềm mã nguồn mở sau để cài đặt cho giải pháp mình: TỔNG QUAN VỀ HỆ THỐNG IDS ĐƯỢC ĐỀ NGHỊ  OpenWRT [15] phân phối GNU/Linux dành cho thiết bị nhúng Thay tạo firmware đơn lẻ, tĩnh không thay đổi, OpenWRT cung cấp hệ thống tập tin hỗ trợ ghi chép đầy đủ (fully writable filesystem) với hệ thống quản lý gói (package management) Nội dung phần báo giới thiệu cách tổng quan thành phần hệ thống IDS mà báo đề xuất cách thức 61 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 Thông qua việc triển khai OpenWRT lên Access Point, Access Point trở thành thiết bị vận hành tảng Linux, nhờ dễ dàng cài đặt phần mềm khác làm nhiệm vụ Outside Attack Sensor Inside Attack Sensor server đón nhận phân tích frame gửi từ Daemonlogger nhằm để phát công bên mạng WLAN  Script Component: tập hợp đoạn mã script nhằm đón nhận kiện từ Kismet Server Snort xuất để tiến hành đưa cảnh báo lưu trữ thông tin liên quan vào sở liệu  Kismet Drone [12] gói phần mềm cài đặt lên OpenWRT để làm nhiệm vụ Outside Attack sensor, thu thập khung hỗ trợ cho việc phát công từ bên  ADB (Android Debug Bridge): cầu nối giao tiếp Linux Android Phone Alert System thông qua cầu nối để tương tác với Android Phone  Kismet Server [12]: Gói phần mềm cài đặt IDS server đón nhận phân tích frame gửi từ Kismet Drone nhằm để phát công mạng WLAN  Ngoài sử dụng số phần mềm công cụ khác nhằm tăng tốc trình xử lý chuyển đổi liệu tăng hiệu hoạt động toàn giải pháp  Daemonlogger [5] gói phần mềm cài đặt lên OpenWRT để làm nhiệm vụ Inside Attack sensor, thu thập khung truyền tải thiết bị nối kết vào mạng WLAN Access Point chuyển khung (đã giải mã) IDS Server phục vụ cho việc phát công bên mạng WLAN  Hình cho thấy vị trí phần mềm hệ thống IDS đề nghị Các phần trình bày vai trò nguyên tắc hoạt động thành phần hệ thống Snort [11]: Gói phần mềm cài đặt IDS Hình 3: Vị trị phần mềm hệ thống IDS tiếp mạng: nhiều NIC để giao tiếp với mạng có dây WNIC để giao tiếp với mạng không dây OpenWRT xem giao tiếp mạng giao diện mạng hệ điều hành Linux thông thường Chẳng hạn, với thiết bị TLWR941ND TP-Link, card giao tiếp mạng không dây WNIC ứng với giao diện mạng wlan0, card giao tiếp mạng có dây NIC kết nối với switch giao diện mạng lan1, lan2, lan3, lan4 tương ứng với cổng mặt sau thiết bị (như Hình 4) 4.2 OpenWRT Access Point OpenWRT phân phối GNU/Linux dành cho thiết bị nhúng tùy biến để nạp chạy hệ điều hành cho Wireless Access Point để cung cấp nối kết đồng thời cho thiết bị không dây máy tính xách tay, điện thoại di động máy tính bảng Về mặt vật lý, Access Point thiết kế máy tính với cấu hình khiêm tốn, ví dụ RAM 32 MB, flash size 4MB, vi xử lý 400 MHz card giao tiếp mạng Một Access Point thường có loại card giao 62 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 cảnh báo (xuất nội dung cảnh báo hình, đồng thời, gửi yêu cầu sang Android Phone) đồng thời ghi nhận nội dung gói tin thông tin liên quan vào sở liệu nhật ký 4.3.1 Luồng xử lý liệu Kismet Luồng xử lý liệu Kismet mô tả Hình Hình 4: Kiến trúc TP-Link TL-WR941ND sử dụng hệ thống thực tế Access Point điểm kết tập toàn lưu thông mạng WLAN, đó, tất gói tin lưu thông mạng WLAN xuất giao diện wlan, vậy, nhiệm vụ daemonlogger (đóng vai trò Inside Attack sensor) lắng nghe giao diện wlan để gửi tất gói tin giao diện sang giao diện lan mà từ IDS Server nhận Do daemonlogger hoạt động tầng Application mô hình OSI, nên liệu đầu vào (tức liệu daemonlogger nhận từ giao diện wlan) liệu giải mã dạng plain-text Access Point Hơn nữa, giao diện wlan có khả thu thập khung liệu bên mạng không dây, hoạt động master mode nên làm điều này, giải pháp Kismet Drone tạo giao diện ảo (virtual interface) hoạt động monitor mode từ giao diện wlan nhằm thu thập khung liệu bên mạng không dây chuyển tiếp khung đến Kismet Server cài đặt IDS Server phục vụ cho việc phát công vào mạng WLAN 4.3 IDS Server Hình 5: Luồng xử lý liệu Kismet Trước hết, Kismet Server nhận liệu từ Kismet Drone (vận hành Access Point) gửi đến, xử lý liệu xuất cảnh báo tập tin Kismet Log (nếu có) Tiện ích Swatch theo dõi tập tin Kismet Log Nếu phát có thay đổi, Swatch gọi đoạn Script đặc biệt, truyền tham số vào đoạn Script thông qua kỹ thuật ống dẫn pipe Đoạn Script nhận tham số truyền vào từ Swatch (tham số chuỗi cảnh báo mà Kismet đưa lưu vào Kismet Log), tiến hành phân tích chuỗi, trích xuất thông tin cần thiết, tạo truy vấn để lưu trữ vào sở liệu, đồng thời, thông qua cầu nối ADB (Android Debug Bridge), tạo yêu cầu cho điện thoại Android để gửi tin nhắn đến số điện thoại nhà quản trị cài đặt trước 4.3.2 Luồng xử lý liệu Snort IDS server thực tế máy tính vận hành tảng Linux, cài đặt Kismet Server Snort để phân tích khung gói tin Kismet Drone Daemonlogger Access Point gửi đến Nếu khung hay gói tin chứa dấu hiệu hay khớp với quy tắc thiết đặt Kismet Server hay Snort IDS Server đưa Luồng xử lý liệu Snort mô tả Hình 63 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 Hình 6: Luồng xử lý liệu Snort sở liệu Kismet Server Snort Trước hết, Snort nhận liệu từ Access Point gửi đến, xử lý liệu này, xuất cảnh báo (nếu có) tập tin theo định dạng khác là: Unified2 AlertFast Log Một tiến trình độc lập với tên gọi Barnyard2 đọc tập tin có định dạng Unified2, phân tích, trích xuất thông tin, tạo truy vấn để chèn thông tin cần thiết vào sở liệu Phần lại tương tự luồng xử lý liệu Kismet Swatch theo dõi tập tin Alert Fast, có thay đổi, gọi đoạn Script, truyền tham số thông qua kỹ thuật ống dẫn Đoạn Script tiến hành phân tích chuỗi truyền vào, thông qua cầu nối ADB, tạo yêu cầu cho điện thoại Android để gửi tin nhắn đến số điện thoại nhà quản trị cài đặt trước 4.4 Hệ thống quản lý kiện xâm nhập CÀI ĐẶT, THỬ NGHIỆM, KẾT QUẢ VÀ SO SÁNH 5.1 Cài đặt, thử nghiệm kết Để kiểm tra khả hoạt động đáp ứng hệ thống IDS đề nghị, tác giả triển khai thử nghiệm thiết bị thật Firmware Access Point TP-Link TL-WR941ND thay OpenWRT phiên Attitude Adjustment 12.09 Sau cài đặt thêm vào OpenWRT gói Kismet Drone nằm Kismet-2013-03-R1b Kismet daemonlogger từ respository OpenWRT để Access Point TP-Link TLWR941ND trở thành WIDS Access Point giải pháp đề xuất IDS Server vận hành tảng Ubuntu 13.04, cài đặt thêm Kismet Server nằm Kismet-2013-03-R1b, Snort 2.9.4.5 gói khác Apache2, PHP5, MySQL, android-tools-adb…từ respository Ubuntu Điện thoại Android loại điện thoại Android thông thường, vận hành quyền root hay user tương thích tốt với hệ thống Bên cạnh chức cảnh báo cách gửi SMS đến số điện thoại thiết đặt trước nhà trị hệ thống, ứng dụng web cài đặt phép nhà quản trị xem cách tổng quát hay chi tiết kiện xấu xảy hệ thống mạng không dây lưu lại Hình 7: Mô hình kiểm tra công bên mạng không dây công bên mạng không dây thử nghiệm trình bày cụ thể Bảng 1, kết hợp với việc so sánh với giải pháp thương mại CUWN CISCO Mô hình thử nghiệm công bên thể Hình Kết triển khai 64 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 Bảng 1: Kiểm thử công bên so sánh STT 10 11 12 13 14 15 16 17 18 19 20 21 Tên công AIRJACKSSID APSPOOF BSSTIMESTAMP CRYPTODROP DEAUTHFLOOD BCASTDISCON DHCPCLIENTID DHCPCONFLICT DISASSOCTRAFFIC DISCONCODEINVALID DEAUTHCODEINVALID DHCPNAMECHANGE DHCPOSCHANGE LONGSSID LUCENTTEST MSFBCOMSSID MSFDLINKRATE MSFNETGEARBEACON NETSTUMBLER NULLPROBERESP PROBENOJOIN IDS báo CUWN Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát Phát đa dạng phong phú, nên kiểm thử để bao quát tất Chúng đưa kết thực nghiệm để chứng minh rằng: với hệ thống IDS báo, ứng dụng Snort rules nhằm kiểm tra gói tin (bất kể hình thức mã hóa) để phát công từ bên mạng không dây Trong trường hợp kiểm thử, hệ thống IDS báo phát đưa cảnh báo thông qua tin nhắn SMS, lưu thông tin vào sở liệu Ngoài ra, hệ thống có khả phát hình thức công bên khác, cụ thể liệt kê Kismet Documentation [11] Mô hình thử nghiệm công bên mạng không dây thể Hình Theo đó, lý đó, hacker thâm nhập vào mạng WLAN Đầu tiên, hacker tiến hành quét mạng để thu thập thông tin host hoạt động dịch vụ vận hành host Sau đó, hacker tiến hành exploit để chiếm quyền điều khiển máy tính target vận hành dịch vụ Samba Theo đó, với giải pháp nguồn mở miễn phí báo hỗ trợ phát tất 21 hình thức công khác từ bên mạng không dây, ngang với giải pháp thương mại CUWN CISCO Về thực tế, hình thức công bên mạng không dây tương đồng giống với hình thức công mạng Ethernet thông thường Do đó, hình thức công dạng vô Hình 8: Mô hình kiểm tra công bên mạng không dây 65 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 định nghĩa Snort 5.2 So sánh với kết khác nhận xét Tương tự, bước quét mạng exploit, hệ thống IDS báo phát đưa cảnh báo kiện thâm nhập vừa xảy (tức hacker vừa quét mạng hacker vừa exploit) thông qua tin nhắn SMS, lưu thông tin vào sở liệu Việc phát dựa rule Bảng 2: Kiểm thử công bên so sánh CUWN Quadrant Information Security Jason Murray Có, tương tự Kismet Có, dựa Kismet Có, dựa Kismet Có Có, dựa Snort Không Có, Snort rules Có Có, Snort rules Không Có Không Không Không Hỗ trợ quản lý kiện với sở liệu Có, hỗ trợ Snort lẫn Kismet Có Chỉ hỗ trợ Snort, Kismet không hỗ trợ sẵn Không Chặn đứng gói tin xấu (IPS) Không Có Không Không Tên chức Phát công từ bên Phát công từ bên Hỗ trợ rules để nhận diện thêm công từ bên Hỗ trợ cảnh báo tức tin nhắn SMS IDS đề nghị Có, dựa Kismet Có, dựa Snort Giải pháp IDS báo so sánh mặt chức với giải pháp nguồn mở tương tự khác giải pháp thương mại CUWN CISCO theo Bảng 2: Có, không ràng Không, ràng Có, không ràng buộc buộc phần buộc phần phần cứng cứng cứng CISCO Giá thành triển khai Rất cao Rất thấp Rất thấp thương mại CUWN dường không cung Qua Bảng thấy, giải pháp IDS cấp cho người dùng thuận lợi báo mang nhiều ưu điểm vượt trội so với giải pháp nguồn mở khác, cụ thể khả phát Chức chặn gói tin xấu (IPS) hình thức công từ bên lẫn CUWN hoạt động dựa rules, điều bên trong, cảnh báo tức SMS cho hay đồng nghĩa với việc chức IPS chặn nhiều nhà quản trị phát công; hỗ đứng công (tức công trợ quản lý kiện xấu từ công bên chưa định nghĩa rules) Mặc dù, giải (Kismet) lẫn bên (Snort) sở liệu pháp báo chưa cài đặt chức thông qua ứng dụng Web, giải pháp nguồn mở chặn đứng gói tin xấu (IPS) giải pháp Quadrant Information Security quản lý CUWN CISCO, với tính kiện xấu từ công bên cách dùng hiệu mà giải pháp IDS nguồn mở ứng dụng Web có sẵn Snort, không hỗ trợ cho miễn phí báo mang lại, thật Kismet (do Kismet không lưu trữ vào sở liệu giải pháp tiềm cho phần lớn quốc gia ứng dụng Web kèm) phát triển Khả mở rộng giải pháp sử KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN dụng phần mềm mã nguồn mở vô cao, ví Qua phần trình bày bên trên, báo dụ từ việc hỗ trợ gửi cảnh báo tức thời thông đưa giải pháp thay hiệu tiết qua tin nhắn SMS, hoàn toàn dễ dàng tích kiệm việc triển khai hệ thống IDS cho mạng hợp thêm việc gửi cảnh báo qua SMTP, SNMP… không dây Giải pháp khắc phục Một điều quan trọng khác giải pháp nhược điểm hệ thống WIDS truyền thống không bị phụ thuộc vào phần cứng, sử dụng đề cập phần 3, cung cấp tính kết hợp thiết bị từ nhà sản xuất phần cứng bật lưu trữ kiện vào sở liệu, khả khác Trong đó, giải pháp nguồn đóng quản lý kiện, cảnh báo tức SMS… Khả mở rộng Có, không ràng buộc phần cứng Rất thấp 66 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 /Enterprise/Mobility/secwlandg20/ch4_2_S PMb.html, assessed on 02/06/2014 Dice Holdings, 2014 SourceForge: Daemonlogger, http://sourceforge.net/projects/daemonlogger/, accessed on 19/5/2014 Geminicomputersinc, 2014 CSCAIRLAP1261NAK9, http://www.geminicomputersinc.com/cscairlap1261nak9.html, accessed on 19/5/2014 Grant Wilson, 2001 OSI Defense in Depth to Increase Application Security, http://www.giac.org/paper/gsec/2868/osidefense-in-depth-increase-applicationsecurity/10484, assessed on 02/06/2014 Hossein Bidgoli, 2006 The Handbook of Information Security John Wiley & Sons, Inc Jason Murray, 2014 An Inexpensive Wireless IDS using Kismet and OpenWRT, http://www.sans.org/reading_room/whitepa pers/detection/inexpensive-wireless-idskismet-openwrt_33103, assessed on 02/06/2014 10 John Bellardo and Stefan Savage, 2003 802.11 Denial-of-Service Attacks: Real Vulnerabilities and Practical Solutions Department of Computer Science and Engineering, University of California at San Diego 11 Martin Roesch, Chris Green, 2014 SNORT Users Manual, http://manual.snort.org/, assessed on 02/06/2014 12 Mike Kershaw, 2014 Kismet Documentation, http://www.kismetwireless.net/documentati on.shtml, assessed on 02/06/2014 13 Nathan Einwechter, 2010 An Introduction To Distributed Intrusion Detection Systems, http://www.symantec.com/connect/articles/i ntroduction-distributed-intrusion-detectionsystems, assessed on 02/06/2014 14 Network Hardware Australia 2014, Cisco Wireless Control System, http://www.networkhardware.net.au/ciscowcsapbase50-p15452.html?utm_term=CISCO+WCS+APB ASE+50&utm_campaign=Network+Produc ts&utm_medium=cpc&utm_source=mysho pping, accessed on 19/5/2014 có hệ thống WIDS đắt tiền Chi phí triển khai giải pháp vô rẻ hoàn toàn sử dụng thiết bị mạng thông thường sản phẩm phần mềm mã nguồn mở Hệ thống triển khai cách rộng rãi nhiều nơi quan, tổ chức, công ty… với quy mô nhỏ, vừa, hay chí quy mô lớn cần tiết kiệm chi phí việc triển khai hệ thống bảo mật cho mạng không dây đảm bảo tính bảo mật hiệu Bên cạnh đó, hệ thống tồn khuyết điểm định: khả phát công bên hoàn toàn phụ thuộc vào khả phát Kismet Server, không hỗ trợ viết rule để nhận dạng công mới; khả phát công bên đòi hỏi phải định nghĩa trước công thông qua rule Snort; liệu gửi từ Access Point IDS Server mang tính dư thừa Kismet Drone gửi Frame có mã hóa IDS Server Do giải pháp cho hệ thống phát xâm nhập nên dừng lại việc đưa cảnh báo cung cấp thông tin liên quan xâm nhập, hoàn toàn khả ngăn chặn xâm nhập xảy hay hạn chế hậu xấu mà gây Access Point vận hành tảng Linux nhờ vào OpenWRT, nên việc ứng dụng iptables để Access Point tiến hành chặn (drop or reject) gói tin xấu hay chặn địa gửi gói tin xấu cách tự động iptables MAC Filter, từ chặn công từ bên hướng nghiên cứu tiềm TÀI LIỆU THAM KHẢO ARUBA networks, 2013 Integrating Wired IDS with Wi-Fi Using Open-Source IDS to Complement a Wireless IDS/IPS Deployment Champ Clark III, 2014 Building Wireless IDS system using open source, http://sagan.quadrantsec.com/papers/wireles s-ids/, assessed on 02/06/2014 Cisco, 2014 Cisco Licensing and Ordering Guide, http://www.cisco.com/en/US/prod/collateral /wireless/ps5755/ps6301/ps6305/product_da ta_sheet0900aecd804b4646.html, assessed on 02/06/2014 Cisco, 2014 Cisco Unified Wireless Network, http://www.cisco.com/en/US/docs/solutions 67 Tạp chí Khoa học Trường Đại học Cần Thơ Phần A: Khoa học Tự nhiên, Công nghệ Môi trường: 33 (2014): 58-68 15 OpenWrt, 2014 OpenWrt: Wireless Freedom, https://openwrt.org/, accessed on 19/5/2014 16 Prabhaker Mateti, 2005 Hacking Techniques in Wireless Networks, http://cecs.wright.edu/~pmateti/InternetSecu rity/Lectures/WirelessHacks/MatetiWirelessHacks.htm, assessed on 02/06/2014 17 Rafeeq Ur Rehman, 2003 Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID 18 Router-switch Ltd, 2014 AIR-WLC440212-K9, http://www.router-switch.com/airwlc4402-12-k9-p-4378.html, accessed on 17/3/2014 68